La derni�re fonctionnalit� de Windows 11, baptis�e Windows Recall, enregistre un grand nombre de donn�es personnelles pour alimenter la GenAI de Microsoft./ (Cr�dit MS)
Annonc�e par Microsoft la semaine pass�e, la fonction d'IA de Windows a rapidement suscit� des critiques en raison des captures d'�cran r�guli�res effectu�es par l'OS au point qu'un expert en s�curit� l'a compar�e � un logiciel d'enregistrement de frappe.
Windows Recall, la fonctionnalit� qui enregistre l'�cran d'un utilisateur � intervalles r�guliers, a �t� qualifi�e de � cauchemar pour la vie priv�e � en raison des risques qu'elle introduit en mati�re de confidentialit� et de s�curit� des donn�es. Annonc� lundi dernier par Microsoft, l'outil, bas� sur l'IA g�n�rative, enregistre des � instantan�s � de l'�cran de l'utilisateur toutes les cinq secondes pour fournir un historique consultable des actions sur une p�riode de trois mois. La fonction sera disponible en avant-premi�re dans les PC Copilot+ que Microsoft et d'autres fournisseurs commenceront � vendre � la mi-juin. � Des mesures ont �t� mises en place pour prot�ger les donn�es Recall �, a d�clar� Microsoft. Les donn�es enregistr�es sont stock�es et trait�es localement et prot�g�es par chiffrement sur le terminal de l'utilisateur, et celui-ci peut exclure les applications et les sites web qu'il souhaite garder priv�s. Il est �galement possible d'interrompre Recall � tout moment. Cependant, comme l'a indiqu� Microsoft, Recall, qui est activ� par d�faut, n'effectue pas de � mod�ration de contenu �, ce qui signifie que l'outil ne dissimulera pas les informations confidentielles comme les mots de passe, les num�ros de comptes bancaires ou tout autre �l�ment pouvant appara�tre sur l'�cran d'un PC.��
Cette capacit� de Recall � enregistrer et � stocker autant de donn�es sensibles de l'utilisateur a vite suscit� des critiques sur les risques de confidentialit� et de s�curit� des donn�es. � Un enregistreur de frappe et un outil de capture d'�cran int�gr�s qui capturent parfaitement tout ce que l'on fait sur sa machine dans un certain laps de temps est un v�ritable cauchemar pour la vie priv�e, et je doute que l'utilisateur moyen en tirera des b�n�fices �, a d�clar� Jeff Pollard, vice-pr�sident et analyste principal chez Forrester. � Mon premier sentiment, c'est que cela pourrait tr�s vite mal tourner �, a estim� John Scott, chercheur principal en s�curit� chez le fournisseur de logiciels de s�curit� CultureAI. � Ce sont les risques de s�curit� qui posent le plus gros probl�me �, a rench�ri Douglas McKee, directeur ex�cutif de la recherche sur les menaces pour l'entreprise de s�curit� du r�seau SonicWall. � L'annonce de Microsoft Recall nous rappelle une fois de plus que les progr�s de l'intelligence artificielle et des technologies peuvent �tre tr�s pratiques au d�triment de la s�curit� �, a-t-il d�clar� dans un communiqu�. � M�me si Microsoft Recall suscite de nombreuses inqui�tudes en mati�re de protection de la vie priv�e, la v�ritable menace r�side dans l'utilisation potentielle que les attaquants feront de cette fonctionnalit� �, a-t-il ajout�.�
Une porte ouverte sur les donn�es de l'utilisateur�
Selon M. McKee, gagner l'acc�s initial � un appareil facilite grandement une attaque, et c'est bien plus simple que d'obtenir l'�l�vation des privil�ges, � mais avec Microsoft Recall, l'acc�s initial offre l'essentiel de ce qui est n�cessaire pour potentiellement voler des informations sensibles comme des mots de passe ou des secrets commerciaux de l'entreprise �. Les pirates qui parviennent � s'introduire dans un PC sur lequel Recall est install� auront potentiellement acc�s � tout ce qu'a fait l'utilisateur sur une p�riode de trois mois environ, y compris les mots de passe, les donn�es bancaires en ligne, les messages sensibles, les dossiers m�dicaux ou tout autre document confidentiel. Recall pourrait rendre le vol de donn�es sensibles beaucoup plus simple que d'autres modalit�s d'attaques comme l'installation d'un logiciel d'enregistrement de frappe ou d'�cran, qui pourraient attirer davantage l'attention. (Selon Microsoft, une ic�ne Recall est plac�e dans la barre d'�tat de Windows pour indiquer que des clich�s sont pris). � Pourquoi installer un logiciel d'enregistrement de frappe quand on peut simplement activer une fonction int�gr�e au syst�me �, a demand� M. Scott. C'est une fa�on diff�rente d'attaquer, mais c'est une fa�on qui n'existait pas avant que Microsoft ne dise : � Nous faisons une capture d'�cran toutes les cinq secondes � et, plus important encore, une capture d'�cran consultable toutes les cinq secondes. Pour M. Pollard, � avec cette version, Microsoft franchit une nouvelle �tape dans l'exploitation des donn�es �. Microsoft a refus� de r�pondre � une demande de commentaires sur ces probl�mes de s�curit�.��
Outre le risque de cyberattaque, la question de la confidentialit� des donn�es a �galement soulev� quelques inqui�tudes. Au Royaume-Uni, l'Information Commissioner's Office, un organisme public charg� de faire respecter les droits en mati�re de confidentialit� des donn�es, a d�clar� mercredi dernier avoir �crit � Microsoft au sujet de la fonction Recall afin de � comprendre les garanties mises en place pour prot�ger la vie priv�e des utilisateurs �. La quantit� de donn�es enregistr�es et collect�es sur l'ordinateur d'un utilisateur peut devenir probl�matique lorsqu'il s'agit de respecter les r�gles de protection des donn�es. � L'un des aspects de la directive RGPD de l'UE est la proportionnalit� �, a rappel� M. Scott. � Avec Recall, l'utilisateur constitue un �norme tr�sor de donn�es personnelles, les siennes et celles d'autres personnes, et il ne semble pas y avoir de raison tr�s claire de le faire �, a-t-il poursuivi. Outre les informations personnelles de l'utilisateur, Recall pourrait collecter et stocker des donn�es de coll�gues, de clients ou d'autres tiers. Par exemple, lors d'un appel vid�o, � Recall peut-il prendre un clich� de l'�cran toutes les cinq secondes sans autorisation explicite des interlocuteurs d'enregistrer des images avec leurs noms ? ��D'autant qu'il y a � suffisamment d'�l�ments pour identifier avec certitude le correspondant, ce qui pose un �norme probl�me �. Et si les donn�es sont stock�es localement, on peut se demander si demain elles ne pourraient pas �tre sauvegard�es ailleurs, voire h�berg�es sur les serveurs cloud de Microsoft.�
Une fonctionnalit� tr�s inqui�tante pour la s�curit�
Justin Lam, analyste principal de la s�curit� de l'information chez S&P Global Market Intelligence, estime pour sa part que les entreprises ont l'habitude de g�rer des risques li�s � la s�curit� et � la protection de la vie priv�e et que cela ne devrait pas n�cessairement emp�cher l'utilisation d'outils dont les avantages pour les utilisateurs et les entreprises ont �t� d�montr�s. � Les entreprises doivent trouver un �quilibre entre la protection de la vie priv�e et la productivit� des utilisateurs, la gestion des risques internes, la surveillance et la conformit� �, a-t-il d�clar�. � Cela dit, elles devraient �galement prendre en compte les gains de productivit� individuels globaux que peuvent apporter des outils tels que Recall et Copilot �. D'autres, cependant, recommandent aux entreprises d'�viter d'utiliser un tel outil. � � M�me si la possibilit� de rechercher un historique d'utilisation peut faire gagner du temps et augmenter la production, le risque pour les petites entreprises d'utiliser cette fonction est trop grand �, a ajout� McKee de SonicWall. � D�j�, si c'est possible, faites-en sorte de ne pas l'activer �, a conseill� M. Pollard de Forrester. � Je pr�f�rerais aussi qu'on puisse la supprimer par le biais d'une strat�gie de groupe si elle est disponible. De plus si la fonction est activ�e � un moment donn�, je voudrais que la t�l�m�trie m'informe de son activation afin que je puisse d�terminer si un utilisateur a eu l'intention de l'activer ou si c'est le fait d'un attaquant qui cherche � collecter des donn�es �. Selon la page d'administration de Microsoft, ceux qui ne souhaitent pas utiliser Recall peuvent d�sactiver la fonction � l'aide de la strat�gie � D�sactiver l'enregistrement d'instantan�s pour Windows �, ce qui supprimera aussi tous les instantan�s d�j� enregistr�s sur l'appareil. � Pour les entreprises, les administrateurs IT peuvent d�sactiver l'enregistrement automatique des instantan�s � l'aide d'une strat�gie de groupe ou d'une strat�gie de gestion des appareils mobiles �, explique Microsoft sur son site d'assistance.�
La fonction Recall �tant en cours de pr�visualisation, des modifications pourraient �tre apport�es avant qu'elle ne soit g�n�ralement disponible. Selon M. Lam, l'�diteur pourrait am�liorer la fonction et att�nuer les inqui�tudes li�es � la s�curit� et � la confidentialit�. � Recall pourrait, par exemple, � oublier � davantage d'actions qu'il a enregistr�es �, a-t-il sugg�r�. � Recall pourrait conserver un historique sur une p�riode plus courte ou se limiter � un champ d'application plus restreint. Ce qu'il perdrait en pr�cision, il le gagnerait en confiance pour l'utilisateur �. Les capacit�s d'intelligence artificielle de Windows pourraient �galement s'am�liorer au point de permettre une classification plus efficace des donn�es enregistr�es par Recall. Windows Copilot pourrait par ailleurs fournir un � guidage forc� �, en anticipant et en invitant les utilisateurs � arr�ter compl�tement l'enregistrement de l'�cran. � Pour l'instant, il est difficile de voir comment utiliser cette fonction en toute s�curit�. Elle repr�sente un risque dans son ensemble, et aucun contr�le de s�curit� ou de confidentialit� ne m'inciterait aujourd'hui � l'activer sur un syst�me que j'utilise �, a-t-il tranch�.�
Suivez-nous